Il nostro browser, exploit drive-by e un esperimento

Gli exploit drive-by sono la causa della cattiva reputazione degli iframes

Gli exploit drive-by fungono da host su un server di proprietà dell’aggressore in Internet. Nessun utente, tuttavia, visiterebbe intenzionalmente i server che potrebbero infettare il suo computer. Per garantire un elevato tasso di infezione, gli aggressori devono inventarsi qualcos’altro, creando dei punti di “sbarco”. Siti dall’aspetto inoffensivo che sono stati hackerati e modificati per re-indirizzare il browser alla pagina in cui avverrà l’attacco. Migliaia di pagine vengono infettate da attacchi malware. Molto spesso queste pagine sono siti pubblicitari che sono stati infettati (in questo caso gli ad blocker possono costituire un utile strumento di protezione!).

Tali re-indirizzamenti non sono visibili all’utente durante la navigazione. Improvvisamente, il malware. Migliaia di malware! Ecco perché gli iframes godono di una cattiva reputazione: sono il mezzo standard per includere il contenuto di altre pagine nella tua home page. Mappe, video, ecc. Purtroppo sono anche semplici da usare come reindirizzatori da parte degli autori di malware.

Aiutaci ad aiutarti

Abbiamo deciso di avviare un nuovo esperimento, per saperne di più sull’abuso degli iframes e per individuare nuovi modi per rilevarli. Se desideri partecipare, puoi unirti all’esperimento. Come? Nel browser Avira troverai un nuovo logo:

avira_prototype_icon_128
È sufficiente cliccare la casella di controllo e iniziare a navigare. Tutto qui. Nessuna magia! Condivideremo i nostri risultati direttamente nell’estensione e faremo di te un elemento dell’equipaggio di ricerca.

Desideriamo sapere

  • Quali iframes vengono utilizzati per motivi legittimi?
  • Esiste un modo per pre-filtrarne la maggior parte, dal momento che non contengono malware?
  • I nostri server possono identificare connessioni combinando i risultati di diversi utenti (“reputazione”)?
  • Dobbiamo inviare l’URL host anche ai nostri server oppure l’invio degli iframe contenuti nell’URL è sufficiente?
  • Come ridurre al minimo le connessioni client/server (per motivi di privacy e per ridurre il costo del nostro server)?
  • È possibile identificare gli iframes dannosi sul lato server in modo sufficientemente rapido a bloccarne il caricamento senza influire sull’esperienza utente (velocità di caricamento percepita)?

Dettagli

  • Non si tratta ancora di una funzionalità di sicurezza
  • Invieremo al server più dati di quanti ne servano al prodotto finale. Raccoglieremo informazioni su:
  • Gli host da te visitati (suggerimento: è possibile installare un profilo browser sperimentale e non navigare su siti “imbarazzanti” ?)
  • Gli iframes contenuti in questi host
  • I numeri della versione browser e l’estensione
  • Un ID unico e casuale per la tua installazione. Intendiamo stimare il numero di utenti giornalieri per poi calcolare la larghezza di banda necessaria.

Clicca il pulsante, attiva l’estensione. Accedi alle pagine che visiti normalmente. L’estensione mostrerà direttamente gli iframes incorporati (non tutti, ma la maggior parte). Le pagine e gli iframes contenuti verranno caricati sui nostri server. Per questo motivo, forse, vorrai saltare alcune delle pagine più “imbarazzanti”. Aggiorneremo l’estensione 2-3 volte al mese con nuove funzionalità.

Spero che utilizzerai regolarmente l’estensione per aderire anche alle prossime fasi dell’esperimento.

Il quadro generale

Presso Avira è in corso un nuovo progetto di ricerca denominato BOB che si occupa di banking online sicuro. Con l’esperimento sugli iframes speriamo di avere anche una risposta alla domanda: “Quale percentuale e quali famiglie di trojan bancari infettano l’utente con download drive-by?”. Esistono altre tecniche di reindirizzamento oltre agli iframes e altri vettori di infezione (come le email SPAM con link). Ma questa è un’altra questione che discuteremo un’altra volta.

TL;DR:

Aggiungeremo molte nuove funzionalità innovative al browser che saranno testate conducendo esperimenti come quello sopra descritto.

Lo speriamo!
Thorsten Sick

Questo articolo è disponibile anche in: Inglese

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser